Jak maskować poufne dane w usłudze Azure Web Application Firewall w usłudze Azure Front Door
Narzędzie do czyszczenia dzienników zapory aplikacji internetowej (WAF) ułatwia usuwanie poufnych danych z dzienników zapory aplikacji internetowej. Działa przy użyciu aparatu reguł, który umożliwia tworzenie niestandardowych reguł w celu identyfikowania określonych części żądania zawierającego poufne dane. Po zidentyfikowaniu narzędzie usuwa te informacje z dzienników i zastępuje je ciągiem *******.
Uwaga
Po włączeniu funkcji czyszczenia dzienników firma Microsoft nadal przechowuje adresy IP w naszych dziennikach wewnętrznych w celu obsługi krytycznych funkcji zabezpieczeń.
W poniższej tabeli przedstawiono przykłady reguł czyszczenia dzienników, których można użyć do ochrony poufnych danych:
| Dopasuj zmienną | Operator | Selektor | Co zostaje szorowane |
|---|---|---|---|
| Nazwy nagłówków żądania | Równa się | keytoblock | {"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"****"} |
| Żądania nazw plików cookie | Równa się | cookietoblock | {"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"****"} |
| Żądanie po nazwach Arg | Równa się | var | {"matchVariableName":"PostParamValue:var","matchVariableValue":"****"} |
| Nazwy JSON treści żądania Arg | Równa się | JsonValue | {"matchVariableName":"JsonValue:key","matchVariableValue":"****"} |
| Nazwy ciągów zapytania | Równa się | przykład | {"matchVariableName":"QueryParamValue:foo","matchVariableValue":"****"} |
| Żądanie adresu IP* | Równa się dowolnemu | NULL | {"matchVariableName":"ClientIP","matchVariableValue":"****"} |
| Identyfikator URI żądania | Równa się dowolnemu | NULL | {"matchVariableName":"URI","matchVariableValue":"****"} |
* Żądaj adresu IP i reguł identyfikatora URI żądania obsługują tylko dowolny operator i czyści wszystkie wystąpienia adresu IP osoby żądającej, która jest wyświetlana w dziennikach zapory aplikacji internetowej.
Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Web Application Firewall w usłudze Azure Front Door Sensitive Data Protection?
Włączanie ochrony poufnych danych
Skorzystaj z poniższych informacji, aby włączyć i skonfigurować ochronę danych poufnych.
Aby włączyć ochronę poufnych danych:
- Otwórz istniejące zasady zapory aplikacji internetowej usługi Front Door.
- W obszarze Ustawienia wybierz pozycję Poufne dane.
- Na stronie Poufne dane wybierz pozycję Włącz czyszczenie dzienników.
Aby skonfigurować reguły kontroli dzienników na potrzeby ochrony danych poufnych:
- W obszarze Reguły czyszczenia dzienników wybierz zmienną Dopasowywanie.
- Wybierz operator (jeśli ma to zastosowanie).
- Wpisz selektor (jeśli dotyczy).
- Wybierz pozycję Zapisz.
Powtórz, aby dodać więcej reguł.
Weryfikowanie ochrony poufnych danych
Aby zweryfikować reguły ochrony danych poufnych, otwórz dziennik zapory usługi Front Door i wyszukaj ****** je zamiast poufnych pól.